12/08/19
Apple открыла для всех желающих свою ранее закрытую программу выплаты вознаграждений за обнаруженные уязвимости (bug bounty). Об этом представители компании сообщили на конференции Black Hat USA 2019, проходившей на этой неделе в Лас-Вегасе. Помимо открытия программы, Apple также добавила в нее MacOS, tvOS, watchOS и iCloud и увеличила сумму вознаграждения за некоторые уязвимости до $1 млн.
Компания впервые запустила свою программу bug bounty в 2016 году, и до сих пор в ней можно было участвовать только по приглашению. Для участия принимались уведомления об уязвимостях лишь в ограниченном круге продуктов, а максимальная сумма вознаграждения составляла $200 тыс. Столько компания платила за уязвимости в аппаратном обеспечении, например, в компонентах прошивки, ответственных за безопасную загрузку. Теперь же она готова заплатить $1 млн за сообщения об уязвимостях, с помощью которых злоумышленник может осуществить сетевую атаку без участия пользователя, позволяющую выполнить код на уровне ядра с сохранением персистентности.
Apple также увеличила сумму вознаграждения за другие уязвимости. За сообщения об уязвимостях, позволяющих осуществить сетевую атаку без единого клика со стороны пользователя, с помощью которой злоумышленник может получить доступ к ценным конфиденциальным данным исследователям теперь полагается $500 тыс. Еще 50% от этой суммы сверху получат исследователи, обнаружившие уязвимости до официального релиза ПО.
